Microsoft heeft organisaties opgeroepen om hun Exchange-servers te patchen, aangezien sommige ondernemingen dit bewust niet doen omdat ze denken dat dit invloed op de werking van het systeem heeft, zo laat het techbedrijf weten. Volgens Microsoft is er een toename van het aantal aanvallen gericht tegen ongepatchte Exchange-servers.
Aanvallers maken bijvoorbeeld misbruik van een kwetsbaarheid aangeduid als CVE-2020-0688. Een beveiligingsupdate voor dit lek is al sinds 11 februari van dit jaar beschikbaar. "Tot op de dag van vandaag blijven aanvallers kwetsbare servers vinden om aan te vallen", zegt Microsofts Hardik Suri.
Suri stelt dat organisaties kwetsbaarheden in Exchange de hoogste prioriteit moeten geven, omdat deze servers zeer vertrouwelijke bedrijfsgegevens en accounts met hoge rechten bevatten. Door Exchange-servers te compromitteren kan een aanvaller volledige controle over het netwerk krijgen. Zodra aanvallers toegang tot een Exchange-server hebben gekregen wordt er een webshell geïnstalleerd. Via de webshell kan een aanvaller de server op afstand benaderen en allerlei code en commando's uitvoeren. Vervolgens brengen de aanvallers andere Exchange-servers, mailboxes en gebruikers in kaart.
"Op verkeerd geconfigureerde servers waar aanvallers de hoogste rechten verkrijgen, kunnen aanvallers een nieuw gebruikersaccount aan de server toevoegen. Hiermee kunnen de aanvallers de server zonder het gebruik van remote access tools benaderen", merkt Suri op. Vervolgens voegen de aanvallers het net aangemaakte account toe aan andere groepen, zoals beheerders, remote desktopgebruikers en enterprise admins. Daarmee hebben ze nagenoeg onbeperkte toegang tot gebruikers en groepen in de organisatie.
Verder proberen de aanvallers aanwezige beveiligingssoftware uit te schakelen en aanwezige mailboxes te exporteren, die vervolgens worden gedownload. Volgens Suri laten dit soort aanvallen zien dat Exchange-servers zeer waardevolle doelwitten voor aanvallers zijn. Om dergelijke aanvallen te voorkomen worden organisaties opgeroepen om beschikbare updates te installeren en servers geregeld op verkeerde configuraties te controleren. Daarnaast moeten gebruikersgroepen met hogere rechten periodiek worden gecontroleerd en is het nodig om principes als least-privilege toe te passen en geen domeinbrede service-accounts met adminrechten te gebruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.